Летит спам

На компе стоит аська с которой систематически летит спам. Так же была замечена отправка спама с одноклассников. Посмотрите пожалуйста, может засел какой зловред.

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winej73.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys');
DeleteFile('C:\WINDOWS\winlogon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winlogon');
BC_ImportDeletedList;
BC_DeleteSvc('Winej73');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR].

Выполните это [URL="http://virusinfo.info/showthread.php?t=3519"]http://virusinfo.info/showthread.php?t=3519[/URL]
Повторите логи по правилам.

Меняйте пароли на аськи, контакты, однокласники...

скрипт не выполняется, выдаёт странность (см. скрин) странность по моему мнению заключается в том что во время ошибки в диспетчере задач появляется второй AVZ в режиме "не отвечает". F:\ это сидюк.

в данный момент качаю полиморфный AVZ

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

полиморф так же отказался работать ссылаясь на отсутствующий диск в приводе.

Попробуйте так
[CODE]
begin
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winej73.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys');
DeleteFile('C:\WINDOWS\winlogon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winlogon');
BC_ImportDeletedList;
BC_DeleteSvc('Winej73');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

пишет: ошибка прямого чтения C:\WINDOWS\winlogon.exe. При потыке добавить в карантин - ошибка. Прошу принять во внимание что работоспособность оси на данном компьютере критически важна.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

и так же выдаёт ошибку В устройстве нет диска... (см. скрин)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

А что если попытатся задействовать Бут Клинер и на попытку карантина, ведь судя по времени возникновения ошибки чтения диска, авз успевает выполнить часть скрипта... ИМХО

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Теперь при попытке запустить авз, а также полиморфный (пытался несколько раз переименовать в случайный набор символов) авз не запускается. Ошибка: Отказано в доступе к указанному устройству, папке или файлу. Возможно, у вас недостаточно прав доступа к этому обьекту.

Буквально 10 минут назад всё было нормально

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

regedit так же не запускается

[size="1"][color="#666686"][B][I]Добавлено через 39 минут[/I][/B][/color][/size]

ап

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

При сканировании системы антивирусом НОД32 с сегодняобновлёнными базами было обнаружено:

[CODE]C:\Documents and Settings\leader\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02QEZ - JS/TrojanDownloader.Agent.NRL троянская программа - очищен удалением - изолирован
C:\Documents and Settings\leader\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02QF0 - JS/TrojanDownloader.Agent.NRL троянская программа - очищен удалением - изолирован
C:\Documents and Settings\leader\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02QF2 - JS/TrojanDownloader.Agent.NRL троянская программа - очищен удалением - изолирован

C:\Documents and Settings\leader\Рабочий стол\все\Новая папка\Новая папка (4)\e_mail\opz_install\opz\FOP\ansi2oem.exe - вероятно модифицированный Win32/Agent троянская программа - очищен удалением - изолирован

C:\opz\opzfull-1.15-setup.exe » NSIS » ansi2oem.exe - вероятно модифицированный Win32/Agent троянская программа
C:\opz\opzupd-1[1].15-setup.exe » NSIS » ansi2oem.exe - вероятно модифицированный Win32/Agent троянская программа[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

После перезагрузки компа, доступ к файлам восстановился, в том числе и к авз. Жду дальнейших указаний.

Попробуйте OSAM. Ссылки под рукой нет, но думаю найдете.

ССылочка вот [url]http://www.online-solutions.ru/products/downloads.html[/url]

Сделал лог:

Выпонить скрипт:
[CODE]begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ane6dk70.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ane6dk70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys');
bc_DeleteSvc('Winej73');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать, если что-то попадет в карантин.
Повторить логи AVZ и OSAM

Итак, попорядку.

Скрипт с поста #9 выполнил, на перезагрузке повис, заставил перезагрузиться "пальчиком". В карантин ничего не попало. Выполнил сканирование OSAMoм, который выявил маскирующийся файл ammprao1.sys (не гуглится)

Выполнил 2 и 3 стандартный скрипт, во время которых в карантин попал файл kjhs12df978.pif - переименованый мною полиморфный авз (при проблемах с ограничением доступа к файлам).

Для экономии времени выполнил:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ammprao1.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Так же, с целью экономии времени, выполнил сканирование gmer'ом. Все логи ниже. Карантин отправлен.

Предложение будет таким: попробовать скопировать данный драйвер с именем типа
ammprao1.sys при помощи Гмера и прислать только его.

Есть, правда, подозрение, что опять чей-ьто временный драйвер, которого реально на диске нет и появляется он только в памяти.
ice-time.dll - ломалка от Нода, наверное.

[QUOTE='PavelA;546597']ammprao1.sys[/QUOTE]Это эмулятор IDE\ATAPI. Имя меняется при каждой перезагрузке и имеет вид a*******.sys

[QUOTE='PavelA;546597']ice-time.dll - ломалка от Нода, наверное[/QUOTE]Скорее от Касперского

[B]thyrex[/B], Там только Нод стоит.

[QUOTE='PavelA;546616']thyrex, Там только Нод стоит.[/QUOTE]Возможно стоял раньше. Это заморозка триала именно от Касперского. О том, что она идет и к Нод не слышал

По поводу ice-time.dll понятно. Это заморозка триального ключика от Касперского (чистосердечно признаюсь). В логах больше ничего подозрительного не видно?

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Возможно, ограничение доступа к файлам и "органам управления" компьютером было вызвано "локальной ошибкой" после выполниения рекомендаций из поста #2, нежели от целенаправленных действий зловреда.

Скрипт верный был.

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(19);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Помогло?

[QUOTE=thyrex;547024]Скрипт верный был.[/QUOTE]

Я не утверждаю что скрипт был не верный. Я говорю лишь о том что вероятно какой-то компонент не правильно отреагировал на выполнение скрипта, что вызвало ограничение доступа к файлам.

Последний рекомендуемый скрипт выполнил. Явных нареканий на работу компьютера не наблюдаю.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Ещё есть вопрос, информативного характера. В последнем логе гмера заметил запущеный C:\DOCUME~1\leader\LOCALS~1\Temp\uxlyipod.sys

Смущает папка откуда запускается и уникальность имени.

[quote]C:\DOCUME~1\leader\LOCALS~1\Temp\uxlyipod.sys[/quote]
Драйвер от гмера.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]